Как не попасться на удочку киберпреступника и уменьшить риск быть обманутым в интернете

Многие специалисты по информационной безопасности признают, что самое слабое звено в любой системе – это сам пользователь. Люди часто очень доверчивы и сами готовы предоставить мошенникам конфиденциальную информацию или совершить какой-нибудь другой неразумный поступок. Как не попасться на удочку киберпреступника и уменьшить риск быть обманутым в интернете?  

В нашей стране наиболее распространены методы выманивания реквизитов карточек посредством использования взломанных аккаунтов социальных сетей, когда от имени якобы родственника либо друга просят сообщить реквизиты банковской платёжной карточки либо совершить определённые действия по переводу денежных средств посредством интернет-банкинга, мобильного банкинга, Р2Р-переводов на другие карт-счета либо электронные кошельки. В последующем денежные средства обналичиваются, как правило, за пределами Республики Беларусь. Данный вид мошенничества фиксируется довольно часто, суммы ущерба физическим лицам могут составлять от 10 рублей и до того количества, которое есть на карт-счёте.

Существует такое понятие, как социальная инженерия. Это метод получения доступа к информации, основанный на особенностях психологии людей. Основная цель социальной инженерии – получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищённым системам. Мошенники очень часто прибегают к такой практике, так как с её помощью значительно проще добыть необходимые данные, нежели получить их путём взлома системы безопасности. В наше время социальная инженерия довольно часто используется в противоправных действиях, и основной площадкой является интернет.  

Виды социальной инженерии 

Фишинг  
Это вид мошенничества, основная суть которого – завладение логинами и паролями от важных сайтов, аккаунтов, счетов в банке и другой конфиденциальной информации путём рассылки писем с вредоносными программами либо перенаправление на мошеннический сайт. 

Фарминг 
Данный вид мошенничества напрямую связан с фишингом, но более опасен. Суть его – скрытое перенаправление пользователя на ложный IP-адрес. Любой пользователь может «подцепить» на свой компьютер вредоносную программу, размещённую социальным инженером в Сети, в случае если устройство недостаточно защищено. Метод очень опасен тем, что пользователь в большинстве случаев часто не видит подмены. 

Взлом социальных сетей 
Очень популярный и достаточно простой тип мошенничества, когда взламывается страница вашего знакомого и от его имени идут сообщения, чаще всего с просьбой: «Скинь денег на карту». Тот, кого взломали, почти сразу должен понять об этом, так как он не сможет войти в свой аккаунт, поскольку пароль будет уже изменён. 

SMS-атаки 
Мошенник создаёт фейковый аккаунт в социальных сетях либо регистрируется, к примеру, в Viber с симкарты, которая оформлена не на вас. Далее высылает объявление: «Помогите на лечение ребёнку», размещая фото и реквизиты. Если это действительно реальные люди, то реквизиты легко проверяются. Но часто ли мы так поступаем? 

Претекстинг
Набор действий, отработанных по определённому, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определённое действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон. Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя; должность; название проектов, с которыми он работает; дату рождения). Используя их, он входит в доверие, получает необходимую ему информацию. 

Кви про кво 
(услуга за услугу)
Данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы злоумышленник подталкивает жертву на совершение действий, позволяющих выполнить определённые команды или установить необходимое программное обеспечение на его компьютере. 

Обратная социальная инженерия 
Данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена сама обратиться к злоумышленнику за «помощью». Например, мошенник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте со злоумышленником сам, и в процессе «исправления» проблемы мошенник сможет получить необходимые ему данные. 

Вишинг 
Метод, который заключается в том, что злоумышленники, используя телефонную коммуникацию под видом сотрудника банка, покупателя, под разными предлогами выманивают у держателя платёжной карты конфиденциальную информацию или стимулируют к совершению определённых действий со своим карточным счётом/платёжной картой. 

Злоумышленники звонят клиентам банков и, представляясь сотрудниками банков (могут представиться сотрудником Национального банка), под различными предлогами просят предоставить паспортные данные, а также реквизиты банковских платёжных карточек и коды, поступающие на телефонный номер клиента банка. В большинстве случаев номера телефонов звонящих могут быть скрыты либо принадлежать операторам связи других государств. Однако в отдельных случаях мошенниками используются программы-анонимайзеры, IP-телефония. При этом номера телефонов, с которых осуществляются звонки, определяются как официальные номера, указанные на сайте банка. 

На самом деле сотрудник банка при звонке клиенту заранее должен знать все необходимые ему данные. Поэтому сообщать кому-то реквизиты своей банковской платёжной карточки, пароли и коды доступа, паспортные данные ни в коем случае нельзя. Нацио­нальный банк рекомендует в случае поступления подобных звонков сразу же обратиться в контакт-центр банка, эмитировавшего карточку, рассказать о ситуации и далее следовать рекомендациям сотрудника банка. Если злоумышленнику всё же удалось получить реквизиты карточки или был установлен факт хищения денежных средств, следует незамедлительно заблокировать карточку и обратиться с заявлением в правоохранительные органы.

На заметку

Методов мошенничества, которые используют социальную инженерию, – множество. Перечисленные – это всего лишь их часть. Самые распространённые для нашей страны – фишинг, взлом социальных сетей и вишинг. Главный способ защиты от мошенников, использующих методы социальной инженерии, это информирование и обучение людей. Поэтому предлагаем «на зубок» запомнить правила безопасности: 

- не открывайте вложения электронной почты, отправленные с неизвестных ресурсов; 

- не используйте логины, пароли и другую конфиденциальную информацию, если вы подозреваете, что ваш компьютер заражён; 

- не соглашайтесь на загрузку, предлагаемую вредоносным программным обеспечением; 

- не переходите по ссылкам из электронной почты; 

- не сообщайте реквизиты своей карточки незнакомцам ни при каких условиях.